Was ist Root\InventoryApplicationFile? (Glossar)
Root\InventoryApplicationFile ist der Ort, an dem die Amcache-Analyse tatsächlich stattfindet. Ein Unterschlüssel pro PE, das der Appraiser inventarisiert hat, mit den Metadaten, die eine Zeile in einer CSV in einen verteidigbaren Befund verwandeln. Wenn Sie nur einen Amcache-Schlüssel lernen, lernen Sie diesen.
Er ist mit Root\InventoryApplication (dem Katalog installierter Produkte) über ProgramId gepaart. Diese Paarung teilt die Ausgabe von AmcacheParser in die CSVs Associated und Unassociated auf, und die Unassociated-CSV ist der Ort, an dem in den meisten Fällen das Angreifer-Tooling lebt.
Was Sie pro Eintrag erhalten#
| Wert | Was er Ihnen gibt |
|---|---|
Name |
Nur Dateiname. mimikatz.exe, update.exe, diese Art von Sachen. |
LowerCaseLongPath |
Vollständiger Pfad, kleingeschrieben. |
FileId |
"0000" + SHA-1 der ersten 31 MiB. |
Size |
Bytes. |
IsPeFile |
1, wenn es PE ist. |
IsOsComponent |
1, wenn von Windows mitgeliefert. Filtern Sie auf 0, um Rauschen zu reduzieren. |
Publisher / PublisherName |
Signatur-CN und freundlicher Herstellerstring. Leer für unsignierte. |
Version, BinFileVersion, ProductVersion |
Versionsstrings aus den PE-Ressourcen. |
ProductName |
ProductName aus den PE-Ressourcen. |
LinkDate |
PE-TimeDateStamp. Angreiferkontrolliert. |
Language |
LCID aus den PE-Ressourcen. |
ProgramId |
44-stellige Anwendungsidentität. Verbindet mit InventoryApplication. |
Usn |
USN-Journal-Eintrag zum Zeitpunkt der Inventarisierung. |
Plus der eigene LastWriteTimestamp des Registry-Schlüssels, von AmcacheParser als KeyLastWriteTimestamp ausgegeben. Das ist das Nächste an „Wann hat der Appraiser diesen Eintrag geschrieben?" und der richtige Pivot für fast jede zeitbasierte Frage.
Der Triage-Filter, der die meiste Arbeit erledigt#
IsPeFile = True
AND Publisher is empty
AND FullPath under \Users\, \AppData\, \ProgramData\, or \Temp\
Wenden Sie das auf *_UnassociatedFileEntries.csv an und Sie erhalten eine Liste, die klein genug ist, um sie von Hand zu lesen. Die meisten Zeilen sind entweder Commodity-Malware oder der Nutzer hat etwas Portables installiert. Beides ist schnell aufzulösen.
Für die vollständige Schlüssel-für-Schlüssel-Tour siehe Amcache-Registry-Struktur.
Verwandte Begriffe#
Verwandte Beiträge
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.
- Was ist KeyLastWriteTimestamp in Amcache? (Glossar)
Die Registry-Schreibzeit des Amcache-Keys. Das Nächste an 'wann der Appraiser das aufgezeichnet hat'. Das Feld, das neue Analysten am häufigsten mit LinkDate verwechseln.
- Was ist Amcache FileId? (Glossar)
FileId ist '0000' plus der SHA-1 der ersten 31 MiB der Datei. Streifen Sie das Präfix ab, bevor Sie zu VirusTotal gehen, sonst kommt still nichts zurück.